使用过滤器防止简单的页面SQL注入

最新推荐文章于 2024-06-27 23:40:01 发布
最新推荐文章于 2024-06-27 23:40:01 发布
阅读量9k 收藏 1
点赞数 2
分类专栏: 数据库 JAVA Web 文章标签: java sql注入 sql 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuxinquan61/article/details/52460399
版权
JAVA 同时被 3 个专栏收录
27 篇文章 0 订阅
订阅专栏
Web
14 篇文章 0 订阅
订阅专栏
数据库
9 篇文章 0 订阅
订阅专栏

在之前写的一个群博系统中,在上线一段时间后,被自己人发现了一个天大的漏洞——SQL注入,自己也是第一次遇到,真是难以置信,后来看到这样一篇文章:java类过滤器,防止页面SQL注入。自己修改了一下,可以解决一般的SQL注入了(最起码使用sqlmap这种工具没有造成注入)。

首先说一下在我的系统中造成SQL注入的原因:

  1. 大量的SQL语句拼接——为了能够根据不同的请求参数在同一个页面查询后展示,所以在主页存在着大量的SQL语句拼接,由于请求参数是通过get方法传送,在浏览器地址栏很容易被发现,就有可能直接在地址栏添加SQL语句造成SQL注入
  2. 项目使用的数据库连接的用户没有设置权限——由于直接使用的是root用户,所以在别人在进行SQL注入的时候写权限是有的,这就非常的可怕,同时,由于使用的是root用户,整个数据库的信息都能够被拿到,也包括mysql库中的user表,这真是。。。

好了,不多说了,先说这个通过过滤器来防止SQL注入是如何做到的!

这里是通过过滤器取得所有的请求参数,判断请求参数中是否含有SQL中的关键字,而达到防止SQL注入的要求的。

好了,直接看代码:

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class AntiSqlInjectionfilter implements Filter {

    public void destroy() {
        // TODO Auto-generated method stub
    }

    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
    }

    public void doFilter(ServletRequest args0, ServletResponse args1,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req=(HttpServletRequest)args0;
        HttpServletRequest res=(HttpServletRequest)args1;
         //获得所有请求参数名
        Enumeration params = req.getParameterNames();
        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();

            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }

        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            throw new IOException("您发送请求中的参数中含有非法字符");
            //String ip = req.getRemoteAddr();
        } else {
            chain.doFilter(args0,args1);
        }
    }

    //效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            //循环检测,判断在请求参数当中是否包含SQL关键字
            if (str.indexOf(badStrs[i]) >= 0) {
                return true;
            }
        }
        return false;
    }
}

如上,在过滤器当中首先获取到所有的请求参数的名,然后遍历这些请求参数得到请求参数的值,拼接成一个字符串,然后在sqlValidate方法中检验是否含有SQL字段,当检验包含 SQL字段就可以做自己的处理了,在这个例子中是抛出了一个IO异常,我们也可通过在web.xml中配置异常的页面达到类似与捕获异常的效果,如下:

  <error-page>
    <exception-type>java.io.IOException</exception-type>
    <location>/500.html</location>
  </error-page>

这里使用sql字符串涵盖了较多的关键字,可以根据自己的需要删除(说不定我的合法请求里面本身就含有某些关键字呢!)

还有一种解决SQL注入的方法,就是通过PreparedStatement来实现,由于PreparedStatement在执行前设置的参数都会被当成字段的值,所以即便字段值包含SQL语句,也只会被当做一个字段的只,而不会产生SQL语句拼接的情况!

zhuxinquan61
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JSP使用过滤器防止SQL注入简单实现
01-08
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力...
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
rj0511的专栏
12-10 484
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交...
SQL注入(入门其二——过滤)
qq_43520778的博客
09-06 1273
[toc]SQL注入
SQL注入和防御方法
最新发布
weixin_57763462的博客
06-27 329
1.使用预编译语句(Prepared Statements)和参数化查询:这是预防SQL注入的最有效方法之一,通过这种方式,可以确保SQL语句的结构在编译时就确定下来,之后传入的参数不会改变语句的结构,因此可以避免注入攻击。6.限制数据库权限:为应用程序使用的数据库账户只赋予必要的权限,避免使用具有高级权限的账户,这样即使发生注入攻击,攻击者能做的也非常有限。3.使用ORM(对象关系映射)工具:许多现代编程框架提供了ORM工具,它们可以自动进行参数化查询,从而降低直接编写SQL语句的风险。
防止SQL注入的四种方案
dehuisun的专栏
09-05 9615
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
SQL注入遇到过滤,二次注入
qq_61412565的博客
08-13 1066
SQL注入总不能一帆风顺,对面有时候会有一些防御,过安全狗宝塔那些先且不谈,就是过滤注释符号的时候。(新注意到一个知识点,get传参有urf编码,而post没有)应对方法有:因为注释符不起效,所以灵活用or,构造 or '1' ='1,来把后面的’给过滤掉,(但这是知道靶场源码做出来的方式,实战怎么搞呢)。上面一步是默认把字符型数字型测出来了,那么要记得该测列数和回显位了(这里居然忘了该有这步,真是不器用),以前常规的做法是 and order by 1234,这样不停换数字看他报错的嘛。
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 978
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
java web Xss及sql注入过滤器.zip
04-22
5. **单元测试和集成测试**:为了确保过滤器SQL注入防护的有效性,项目可能包含了一些测试用例,使用JUnit和Mockito等工具模拟请求和数据库交互,验证安全措施是否正常工作。 总之,这个项目提供了预防XSS和SQL...
java过滤器防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
C#防SQL注入代码的三种方法
09-04
在C#中,防止SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
防止sql注入过滤器配置
10-24
### 防止SQL注入过滤器配置详解 #### 一、引言 在现代Web应用开发中,安全性一直是至关重要的方面。SQL注入攻击是黑客常用的一种手段,它通过恶意SQL语句来破坏或操纵数据库中的数据。为了保护系统免受此类攻击,...
过滤器sql注入
zzchances的博客
12-24 2104
使用过滤器是解决sql注入的一种方式,其它可以前端校验处理等 过滤器写法: package XXX.utils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.Enumeration; /** * sql注入过滤器 *
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 4414
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
springboot自带filter实现sql防注入过滤器
leveretz的博客
12-29 2483
springboot自带filter实现sql防注入过滤器
sql注入中的过滤问题
csjjjd的博客
01-27 445
在这个语句中,**/被用作注释符号,是一种可以跨行注释的注释符。它将后续的内容都注释掉,从而避免了一些输入过滤对注入的过滤,可以进行SQL注入从而获取数据或进行其他恶意操作。id=1 or 1=1#时提示错误,从这里可以看出对面过滤了点什么导致我的语句出错了,因为我这个语句是用真的,不管放在哪都是会一定正确的,但是这里提示错误的。顺带一提:看来大佬wp后发现其实过滤空格还可以使用()括号来绕过,但是我觉得还是/**/用的习惯,希望本文能够帮助大家。4.直接拿到flag。
sql注入漏洞
qz362228的博客
08-11 2534
sql注入漏洞原理,类型,防御方式,绕过技巧
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8682
解决SQL注入的方法
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1134
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
SQL注入过滤
qq_33651286的博客
07-07 1834
SQL防注入过滤
Net Code 使用过滤器防止sql注入 展示具体代码
05-19
下面是一个使用过滤器防止 SQL 注入的示例代码: ```java public class SqlInjectionFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值